En la consola de Workspace ONE Access, introduzca la información necesaria para conectar con Active Directory y seleccione los usuarios y los grupos que se deben sincronizar con el directorio de Workspace ONE Access. Las opciones de conexión de Active Directory son Active Directory mediante LDAP o Active Directory mediante autenticación de Windows integrada. La conexión de Active Directory mediante LDAP es compatible con la búsqueda de ubicación del servicio DNS.

Requisitos previos

  • Instale el servicio de sincronización de directorios, que está disponible como componente de Workspace ONE Access Connector a partir de la versión 20.01.0.0. Consulte la versión más reciente de Instalar VMware Workspace ONE Access Connector para obtener más información.

    Si desea utilizar el servicio de autenticación de usuario para autenticar a los usuarios del directorio, instale también el componente de dicho servicio.

  • Seleccione los atributos de usuario necesarios y agregue otros adicionales (si es necesario) desde la página Configuración > Atributos de usuario en la consola de Workspace ONE Access. Consulte Administrar atributos de usuario en Workspace ONE Access. Tenga en cuenta las siguientes consideraciones:
    • Si se requiere un atributo de usuario, su valor debe establecerse para todos los usuarios que desee sincronizar. Los usuarios que no tienen un conjunto de valores no se sincronizan.
    • Los atributos se aplican a todos los directorios.
    • Después de configurar uno o varios directorios en el servicio de Workspace ONE Access, los atributos ya no se pueden marcar como obligatorios.
  • Realice una lista de los usuarios y grupos de Active Directory que va a sincronizar desde Active Directory. Los nombres de grupo se sincronizan con el directorio inmediatamente. Los miembros de un grupo no se sincronizan hasta que el grupo goce de autorización para utilizar los recursos o hasta que se lo agregue a una regla de directiva. Los usuarios que necesiten autenticarse antes de que se configuren las autorizaciones de grupo deben agregarse durante la configuración inicial.
    Nota: Workspace ONE Access Connector versión 19.03 y las versiones anteriores no admiten los caracteres / y $ en el atributo distinguishedName o el nombre de un grupo. Esta limitación se aplica a los grupos que se agregan al DN de grupo, así como a los grupos que no se agregan directamente al DN de grupo, pero se sincronizan como parte de un grupo principal cuando se seleccionan las pertenencias a grupos anidados.

    No utilice el carácter / ni $ en el atributo distinguishedName o el nombre de un grupo si tiene pensado sincronizar el grupo con Workspace ONE Access y está utilizando Connector versión 19.03 o versiones anteriores.

  • Si crea un directorio de tipo Active Directory mediante LDAP con la opción de Catálogo global, debe asegurarse de que ningún otro directorio del arrendatario de Workspace ONE Access sincronice a los usuarios desde los mismos dominios que el directorio de Catálogo global. El conflicto puede provocar errores de sincronización.
  • Para Active Directory mediante LDAP, se necesitan la contraseña y los DN base y de usuario de enlace.

    El usuario de enlace debe tener los siguientes permisos en Active Directory para conceder acceso a los usuarios y los objetos de grupos:

    • Leer
    • Leer todas las propiedades
    • Permisos de lectura
    Nota: Se recomienda utilizar una cuenta de usuario de enlace con una contraseña que no caduque.
  • Para Active Directory mediante autenticación de Windows integrada, necesita la contraseña y el nombre de usuario del usuario de enlace que tiene permiso para realizar consultas en usuarios y grupos para los dominios requeridos.

    El usuario de enlace debe tener los siguientes permisos en Active Directory para conceder acceso a los usuarios y los objetos de grupos:

    • Leer
    • Leer todas las propiedades
    • Permisos de lectura
    Nota: Se recomienda utilizar una cuenta de usuario de enlace con una contraseña que no caduque.
  • Si Active Directory requiere acceso mediante SSL/TLS, se necesitan los certificados de CA intermedio (si se utiliza) y raíz de los controladores de dominio para todos los dominios de Active Directory pertinentes. Si los controladores de dominio tienen certificados intermedio y raíz de varias entidades de certificación, se necesitan todos estos certificados.
    Nota: Para directorios de tipo Active Directory mediante autenticación de Windows integrada, el enlace SASL Kerberos se utiliza automáticamente para el cifrado. No se requiere un certificado.
  • Para Active Directory mediante autenticación de Windows integrada, cuando tiene configurado Active Directory con varios bosques y el grupo local de dominios incluye miembros de dominios de diferentes bosques, asegúrese de que el usuario de enlace se agregue al grupo Administradores del dominio en el que reside el grupo local de dominios. De lo contrario, estos miembros no estarán en el grupo local de dominios.
  • Para Active Directory mediante autenticación de Windows integrada:
    • Para todos los controladores de dominio que aparecen en los registros de SRV y los RODC ocultos, nslookup de nombre de host y dirección IP debe funcionar.
    • Todos los controladores de dominio deben ser accesibles en lo que a conectividad de red respecta.

Procedimiento

  1. En la consola de Workspace ONE Access, seleccione Integraciones > Directorios.
  2. Haga clic en Agregar directorio y seleccione Active Directory.
  3. Introduzca un nombre para el directorio de Workspace ONE Access.
  4. Seleccione el tipo de Active Directory que va a integrar (Active Directory mediante LDAP o Active Directory mediante autenticación de Windows integrada).
  5. Si va a integrar Active Directory mediante LDAP, siga estos pasos. De lo contrario, continúe con el paso 6.
    1. En la sección Sincronización y autenticación de directorios, seleccione las opciones siguientes.
      Opción Descripción
      Hosts de sincronización de directorios Seleccione una o varias instancias del servicio de sincronización de directorios que se deben utilizar para sincronizar este directorio. Se enumeran todas las instancias de dicho servicio que están registradas en el arrendatario. Solo puede seleccionar las que están en estado activo.

      Si se seleccionan varias instancias, Workspace ONE Access utiliza la primera seleccionada en la lista para sincronizar el directorio. Si la primera instancia no está disponible, pasa a la siguiente, y así sucesivamente. Tras crear un directorio, puede reordenar la lista desde su correspondiente página Configuración de sincronización.

      Autenticación Seleccione si desea autenticar a los usuarios de este directorio con el servicio de autenticación de usuario. Este servicio debe estar previamente instalado. Al seleccionar , se crean automáticamente el método de autenticación Contraseña (implementación en la nube) y un proveedor de identidad denominado IDP para NombreDeDirectorio de tipo Integrado para el directorio.

      Seleccione No si no desea autenticar a los usuarios de este directorio con el servicio de autenticación de usuario. Si decide utilizar este servicio más adelante, puede crear el método de autenticación Contraseña (implementación en la nube) y el proveedor de identidad para el directorio de forma manual. Cuando lo haga, cree un nuevo proveedor de identidades para el directorio seleccionando Agregar proveedor de identidades > Crear IDP integrado en la página Integraciones > Proveedores de identidades. No se recomienda utilizar el proveedor de identidades creado previamente con el nombre Integrado.

      Hosts de autenticación de usuario Esta opción aparece cuando Autenticación se establece en . Seleccione una o varias instancias del servicio de autenticación de usuario que se deben utilizar para autenticar a los usuarios de este directorio. Se enumeran todas las instancias de dicho servicio que están registradas en el arrendatario con estado activo.

      Si se seleccionan varias instancias, Workspace ONE Access les envía solicitudes de autenticación por turnos (round-robin).

      Nombre de usuario Seleccione el atributo de cuenta que contiene el nombre de usuario.
      ID externo

      El atributo que desea utilizar como identificador único para usuarios en el directorio de Workspace ONE Access. El valor predeterminado es objectGUID.

      Puede establecer un identificador externo en cualquiera de los siguientes atributos:

      • Cualquier atributo de cadena, como sAMAccountName o distinguishedName
      • Los atributos binarios objectSid, objectGUID o mS-DS-ConsistencyGuid

      La configuración del identificador externo solo se aplica a los usuarios de Workspace ONE Access. Para los grupos, el identificador externo siempre se establece en objectGUID y no se puede cambiar.

      Importante: Todos los usuarios deben tener un valor único y no vacío definido para el atributo. El valor debe ser único en el arrendatario de Workspace ONE Access. Si algún usuario no tiene un valor para el atributo, el directorio no se sincronizará.

      Tenga en cuenta las siguientes consideraciones al configurar el identificador externo:

      • Si va a integrar Workspace ONE Access con Workspace ONE UEM, asegúrese de establecer el identificador externo en el mismo atributo en ambos productos.
      • Puede cambiar el identificador externo después de crear el directorio. Sin embargo, la práctica recomendada es establecer el identificador externo antes de sincronizar los usuarios con Workspace ONE Access. Cuando se cambia el identificador externo, se vuelven a crear los usuarios. Como resultado, se cerrará la sesión de todos los usuarios y tendrá que volver a iniciar sesión. También tendrá que volver a configurar las autorizaciones de usuario para las aplicaciones web y ThinApps. Las autorizaciones para Horizon, Horizon Cloud y Citrix se eliminarán y, a continuación, se volverán a crear en la siguiente sincronización de autorizaciones.
      • La opción de identificador externo está disponible con Workspace ONE Access Connector versiones 20.10 y posteriores, y 19.03.0.1. Todas las instancias de Connector asociadas con el servicio de Workspace ONE Access deben ser de la versión 20.10 o posterior, o todas deben ser de la versión 19.03.0.1. Si hay diferentes versiones de Connector asociadas con el servicio, no se muestra la opción de identificador externo.
    2. En las secciones Ubicación del servidor y Cifrado, seleccione entre las siguientes opciones.
      Opción Descripción
      Si desea utilizar la búsqueda de ubicación del servicio DNS para Active Directory Con esta opción, Workspace ONE Access encuentra y utiliza controladores de dominio óptimos. Si no desea utilizar la selección de controladores de dominio optimizados, no seleccione esta opción.
      1. En la sección Ubicación del servidor, active la casilla Este directorio admite la ubicación de servicio de DNS.
      2. Si Active Directory requiere acceso mediante SSL/TLS, active la casilla STARTTLS requerido para todas las conexiones en la sección Cifrado.
        Nota: Si la opción Este directorio admite la ubicación de servicio de DNS está seleccionada, STARTTLS se utiliza para el cifrado a través del puerto 389. Si Este directorio admite la ubicación de servicio de DNS no está seleccionado, se utiliza LDAPS para el cifrado a través del puerto 636.
      3. Copie y pegue los certificados intermedio (si se utiliza) y de CA raíz de los controladores de dominio en el cuadro de texto Certificados SSL. Introduzca primero el certificado de CA intermedio y, a continuación, el certificado de CA raíz. Asegúrese de que todos los certificados estén en formato PEM e incluyan las líneas BEGIN CERTIFICATE y END CERTIFICATE.

        Si los controladores de dominio tienen certificados intermedio y raíz de varias entidades de certificación, introduzca una tras otra todas las cadenas de certificados de CA intermedio-raíz.

        Por ejemplo:

        -----BEGIN CERTIFICATE-----
        ...
        <Intermediate Certificate 1>
        ...
        -----END CERTIFICATE-----
        -----BEGIN CERTIFICATE-----
        ...
        <Root Certificate 1>
        ...
        -----END CERTIFICATE-----
        -----BEGIN CERTIFICATE-----
        ...
        <Intermediate Certificate 2>
        ...
        -----END CERTIFICATE-----
        -----BEGIN CERTIFICATE-----
        ...
        <Root Certificate 2>
        ...
        -----END CERTIFICATE-----
        Nota: Si su Active Directory requiere acceso mediante SSL/TLS y usted no proporciona los certificados, no podrá crear el directorio.
      Si no desea utilizar la búsqueda de ubicación del servicio de DNS para Active Directory
      1. En la sección Ubicación del servidor, compruebe que la casilla Este directorio admite la ubicación de servicio de DNS no esté seleccionada, e introduzca el número de puerto y el nombre de host del servidor de Active Directory.

        Para configurar el directorio como un catálogo global, consulte la sección Entorno de varios dominios y un único bosque de Active Directory de Integrar Active Directory con Workspace ONE Access.

      2. Si Active Directory requiere acceso mediante SSL/TLS, active la casilla LDAPS requerido para todas las conexiones en la sección Cifrado.
        Nota: Si la opción Este directorio admite la ubicación de servicio de DNS está seleccionada, STARTTLS se utiliza para el cifrado a través del puerto 389. Si Este directorio admite la ubicación de servicio de DNS no está seleccionado, se utiliza LDAPS para el cifrado a través del puerto 636.
      3. Copie y pegue el certificado intermedio (si se utiliza) y de CA raíz del controlador de dominio en el cuadro de texto Certificados SSL. Introduzca primero el certificado de CA intermedio y, a continuación, el certificado de CA raíz. Asegúrese de que el certificado esté en formato PEM e incluya las líneas BEGIN CERTIFICATE y END CERTIFICATE.
        Nota: Si Active Directory requiere acceso mediante SSL/TLS y no se proporciona el certificado, no se puede crear el directorio.
      Si va a integrar el directorio como un catálogo global
      1. En la sección Ubicación del servidor, desactive la opción Este directorio admite la ubicación de servicio de DNS.
      2. Seleccione la opción Este directorio tiene un catálogo global.
      3. En el cuadro de texto Host de servidor, introduzca el nombre de host de servidor de Active Directory.
      4. El Puerto de servidor está establecido en 3268. Si selecciona SSL/TLS en la sección Cifrado, el puerto se establece en 3269.
      5. Si Active Directory requiere acceso mediante SSL/TLS, seleccione la opción LDAPS requerido para todas las conexiones en la sección Cifrado.
      6. Copie y pegue el certificado intermedio (si se utiliza) y de CA raíz del controlador de dominio en el cuadro de texto Certificados SSL. Introduzca primero el certificado de CA intermedio y, a continuación, el certificado de CA raíz. Asegúrese de que el certificado esté en formato PEM e incluya las líneas BEGIN CERTIFICATE y END CERTIFICATE.
    3. En la sección Detalles del usuario de enlace, introduzca la siguiente información.
      Opción Descripción
      DN base Introduzca el DN desde el que deben empezar las búsquedas en cuentas. Por ejemplo, OU=myUnit,DC=myCorp,DC=com.
      Importante: El DN base se utilizará para la autenticación. Solo los usuarios que se encuentren bajo el DN base podrán autenticarse. Asegúrese de que los DN de grupo y los DN de usuario que especifique posteriormente para la sincronización se encuentren bajo este DN base.
      Nota: Si agrega el directorio como un catálogo global, el DN base no es necesario y la opción no aparece.
      DN de usuario de enlace Introduzca la cuenta que puede buscar usuarios. Por ejemplo, CN=binduser,OU=myUnit,DC=myCorp,DC=com.
      Nota: Se recomienda utilizar una cuenta de usuario de enlace con una contraseña que no caduque.
      Contraseña del usuario de enlace Escriba la contraseña del usuario de enlace.
  6. Si va a integrar Active Directory mediante autenticación de Windows integrada, siga estos pasos.
    1. En la sección Sincronización y autenticación de directorios, seleccione las opciones siguientes.
      Opción Descripción
      Hosts de sincronización de directorios Seleccione una o varias instancias del servicio de sincronización de directorios que se deben utilizar para sincronizar este directorio. Se enumeran todas las instancias de dicho servicio que están registradas en el arrendatario con estado activo.

      Si se seleccionan varias instancias, Workspace ONE Access utiliza la primera seleccionada en la lista para sincronizar el directorio. Si la primera instancia no está disponible, pasa a la siguiente, y así sucesivamente. Tras crear un directorio, puede reordenar la lista desde su correspondiente página Configuración de sincronización.

      Autenticación Seleccione si desea autenticar a los usuarios de este directorio con el servicio de autenticación de usuario. Este servicio debe estar previamente instalado. Al seleccionar , se crean automáticamente el método de autenticación Contraseña (implementación en la nube) y un proveedor de identidad denominado IDP para directorio de tipo Integrado para el directorio.

      Seleccione No si no desea autenticar a los usuarios de este directorio con el servicio de autenticación de usuario. Si cambia de opinión más adelante, puede crear el método de autenticación Contraseña (implementación en la nube) y el proveedor de identidad para el directorio de forma manual. Cuando lo haga, cree un nuevo proveedor de identidades para el directorio seleccionando Agregar proveedor de identidades > Crear IDP integrado en la página Integraciones > Proveedores de identidades. No se recomienda utilizar el proveedor de identidades creado previamente con el nombre Integrado.

      Hosts de autenticación de usuario Esta opción aparece cuando Autenticación se establece en . Seleccione una o varias instancias del servicio de autenticación de usuario que se deben utilizar para autenticar a los usuarios de este directorio. Se enumeran todas las instancias de dicho servicio que están registradas en el arrendatario con estado activo.

      Si se seleccionan varias instancias, Workspace ONE Access les envía solicitudes de autenticación por turnos (round-robin).

      Nombre de usuario Seleccione el atributo de cuenta que contiene el nombre de usuario.
      ID externo

      El atributo que desea utilizar como identificador único para usuarios en el directorio de Workspace ONE Access. El valor predeterminado es objectGUID.

      Puede establecer un identificador externo en cualquiera de los siguientes atributos:

      • Cualquier atributo de cadena, como sAMAccountName o distinguishedName
      • Los atributos binarios objectSid, objectGUID o mS-DS-ConsistencyGuid

      La configuración del identificador externo solo se aplica a los usuarios de Workspace ONE Access. Para los grupos, el identificador externo siempre se establece en objectGUID y no se puede cambiar.

      Importante: Todos los usuarios deben tener un valor único definido para el atributo. El valor debe ser único en el arrendatario de Workspace ONE Access.

      Tenga en cuenta las siguientes consideraciones al configurar el identificador externo:

      • Si va a integrar Workspace ONE Access con Workspace ONE UEM, asegúrese de establecer el identificador externo en el mismo atributo en ambos productos.
      • Puede cambiar el identificador externo después de crear el directorio. Sin embargo, la práctica recomendada es establecer el identificador externo antes de sincronizar los usuarios con Workspace ONE Access. Cuando se cambia el identificador externo, se vuelven a crear los usuarios. Como resultado, se cerrará la sesión de todos los usuarios y tendrá que volver a iniciar sesión. También tendrá que volver a configurar las autorizaciones de usuario para las aplicaciones web y ThinApps. Las autorizaciones para Horizon, Horizon Cloud y Citrix se eliminarán y, a continuación, se volverán a crear en la siguiente sincronización de autorizaciones.
      • La opción de identificador externo está disponible con Workspace ONE Access Connector versiones 20.10 y posteriores, y 19.03.0.1. Todas las instancias de Connector asociadas con el servicio de Workspace ONE Access deben ser de la versión 20.10 o posterior, o todas deben ser de la versión 19.03.0.1. Si hay diferentes versiones de Connector asociadas con el servicio, no se muestra la opción de identificador externo.
    2. No se requiere ninguna acción en la sección Cifrado. Los directorios de tipo Active Directory mediante autenticación de Windows integrada utilizan automáticamente el enlace SASL Kerberos y no es necesario seleccionar LDAPS o STARTTLS.
    3. En la sección Detalles del usuario de enlace, introduzca el nombre de usuario y la contraseña del usuario de enlace que tiene permiso para realizar consultas en usuarios y grupos para los dominios requeridos. Introduzca el nombre de usuario como sAMAccountName@domain, donde domain es el nombre de dominio completo. Por ejemplo, jperez@ejemplo.com.
      Nota: Se recomienda utilizar una cuenta de usuario de enlace con una contraseña que no caduque.
  7. Haga clic en Guardar y Siguiente.
  8. En la página Seleccionar los dominios, seleccione los dominios si corresponde y haga clic en Siguiente.
    • Para un directorio de tipo Active Directory mediante LDAP, los dominios aparecen ya seleccionados en la lista.
    • Para un directorio de tipo Active Directory mediante autenticación de Windows integrada, seleccione los dominios que deben asociarse con esta conexión de Active Directory. Aparecen todos los dominios que mantienen una relación de confianza bidireccional con el dominio base.

      Si, después de crear el directorio de Workspace ONE Access, se agregan a Active Directory dominios que mantienen una relación de confianza bidireccional con el dominio base, puede agregarlos desde la página Configuración de sincronización > Dominios del directorio. Solo tiene que hacer clic en el icono de actualizar para obtener la lista más reciente.

      Sugerencia: Elija los dominios de confianza uno por uno (no a la vez). para que la operación de guardarlos no precise un tiempo excesivo y no agote el tiempo de espera. Si los dominios se eligen de manera secuencial, el servicio de sincronización de directorios realiza las acciones que se requieren en un único dominio cada vez.
    • Cuando se crea un directorio de Active Directory mediante LDAP con la opción Catálogo global seleccionada, la pestaña Dominios no aparece.
  9. En la página Asignar atributos de usuario, compruebe que los nombres de atributos del directorio de Workspace ONE Access están asignados a los atributos correctos de Active Directory, realice los cambios necesarios y haga clic en Siguiente.
    Importante: Si un atributo está marcado como obligatorio, debe establecerse su valor para todos los usuarios que desee sincronizar. Los registros de usuario a los que les falten valores en los atributos obligatorios no se sincronizarán.
  10. Siga las instrucciones en Seleccionar usuarios y grupos para sincronizar con el directorio de Workspace ONE Access para agregar grupos en la página Seleccione los grupos que desee sincronizar y los usuarios en la página Seleccione los usuarios que quiere sincronizar.
  11. En la página Frecuencia de sincronización, configure una programación para sincronizar los usuarios y los grupos a intervalos regulares. Si no desea establecer dicha programación, seleccione Manualmente en la lista desplegable Frecuencia de sincronización.
    La hora corresponde a la zona horaria UTC.
    Sugerencia: Programe que los intervalos de sincronización sean superiores al tiempo de sincronización. Si se están sincronizando usuarios y grupos con el directorio cuando está programada la próxima sincronización, la nueva sincronización se inicia inmediatamente tras la finalización de la sincronización anterior.
    Si selecciona Manualmente, debe hacer clic en el botón Sincronizar de la página del directorio cada vez que desee sincronizarlo.
  12. Haga clic en Guardar para crear el directorio o en Sincronizar directorio para crearlo e iniciar su sincronización.

Resultados

La conexión con Active Directory está establecida. Si se hizo clic en Sincronizar directorio, los nombres de usuarios y grupos se sincronizarán desde Active Directory con el directorio de Workspace ONE Access.

Para obtener más información sobre cómo se sincronizan los grupos, consulte "Administrar usuarios y grupos" en Administración de VMware Workspace ONE Access.

Qué hacer a continuación

  • Si se establece la opción Autenticación en , se crean automáticamente para el directorio un proveedor de identidad denominado IDP para NombreDeDirectorio y un método de autenticación Contraseña (implementación en la nube). Puede verlos en las páginas Integraciones > Proveedores de identidades e Integraciones > Métodos de autenticación. También puede crear más métodos de autenticación para el directorio desde la página Métodos de autenticación. Para obtener más información sobre cómo crear métodos de autenticación, consulte Administrar métodos de autenticación de usuario en Workspace ONE Access.
  • Revise la política de acceso predeterminada en la página Recursos > Directivas.
  • Revise la configuración predeterminada de los elementos de protección de sincronización y realice los cambios necesarios. Para obtener más información, consulte Configurar los elementos de protección de la sincronización de directorio en Workspace ONE Access.